Wie viel sicher ist sicher?

Größe: px

Ab Seite anzeigen:

Download "Wie viel sicher ist sicher?"

Klaudia Kramer
vor 8 Jahren
Abrufe

1 Wie viel sicher ist sicher? Vortrag durch Aykut Bader Vortrag am 24. Oktober 2012 Ort Sinsheim

2 Aykut Bader FOX Consulting Großbottwar HIC AG Ludwigsburg DEKRA AG Stuttgart British Standards Institute Hanau / London Computers & Lessons GmbH Aschaffenburg m+s Elektronik AG Niedernberg Inhaber Bereichsleitung Security Bereichsleitung IT und Dienstleistung Product Manager CEMEA (Europa) Gründer & Geschäftsführer Pre-Sales & Systems Engineering Qualifikationen ISO 27001:2005 und 9001:2008 Auditor ext. Datenschutzbeauftragter Mitglied bei GDD

Bereichsleitung IT und Dienstleistung Product Manager CEMEA (Europa) Gründer & Geschäftsführer Pre-Sales &

Unsere Schwerpunkte Informationssicherheit Bundesdatenschutzgesetz Awareness-Kampagnen ISO 27001:2005 Risk Management (ISO 31000) Business Continuity Management Notfall- und Krisenmanagement

3 Unsere Schwerpunkte Informationssicherheit Bundesdatenschutzgesetz Awareness-Kampagnen ISO 27001:2005 Risk Management (ISO 31000) Business Continuity Management Notfall- und Krisenmanagement Penetrationstests BSI-Grundschutzhandbuch Leistungen als externer Datenschutzbeauftragter (DSB) Unterstützung des internen Datenschutzbeauftragten Informationssicherheit Bundesdatenschutzgesetz IT-Sicherheit Coaching, Gap-Analyse, Implementation Workshops, Desktop Review, Audits (intern/extern) elearning-portal learn&earn Individuelle und Standardinhalte

Datenschutzbeauftragter (DSB) Unterstützung des internen Datenschutzbeauftragten Informationssicherheit Bundesdatenschutzgesetz

4 Agenda Aktuelle Gefährdungslage Lösungen

5 Aktuelle Gefährdungslage Quelle: Internet

6 Aktuelle Gefährdungslage und viele weitere Fälle Quelle: Internet

7 Aktuelle Gefährdungslage Quelle: VDMA/Handelsblatt/Zoll

8 Aktuelle Gefährdungslage Quelle: eigenes Bildmaterial

10 Aktuelle Gefährdungslage 35% 30% 29% 35% e-crime Opfer nach Branche 25% 20% 15% 19% 27% 21% 32% 32% 10% 5% 0% 12% 27% Quelle: e-crime Studie 2010 KPMG

11 Aktuelle Gefährdungslage 60% 50% 40% 30% 57% 46% 35% Zielgruppen von e-crime 20% 10% 0% 23% 21% 20% 19% 19% 17% 9% 5% 4% Prozent Quelle: e-crime Studie 2010 KPMG

12 Aktuelle Gefährdungslage

Cyber-Kriminelle Angriffe auf Unternehmen, Industriespionage und Sabotage im Auftrag Cyber-Agenten Geheimdienste

13 Aktuelle Gefährdungslage Scriptkiddies David aus Wargames (Hollywood 1983) Hacktivisten Soziale, religiöse, politische Motivation Digitale Straßenräuber Kleinkriminelle Trojaner, Adware, Spam, Phishing Organisierte Cyber-Kriminelle Angriffe auf Unternehmen, Industriespionage und Sabotage im Auftrag Cyber-Agenten Geheimdienste Stuxnet, Duqu Pentagons fünfte Domäne in der Kriegsführung Innentäter Mitarbeiter Lieferanten Quelle: e-commerce-magazin / CIO

14 53 Prozent aller einheimischen User nutzten 2011 soziale Netzwerke für private Zwecke 29,6 Millionen Menschen (ab zehn Jahren) kommunizierten in Sozialen Netzwerken 16- bis 24 Jährige: 91 % 25- bis 44- Jährige: 57 % 45- bis 64-Jährigen: 33 % ab 65 Jahren: 28 % In allen Altersgruppen: privat kommunizierten Frauen häufiger als Männer Business-Networks (Xing, LinkedIn&Co.): 11 Prozent Männer und 7% Frauen Insgesamt beteiligt sich knapp jeder zehnte Internetnutzer aus beruflichen Gründen in sozialen Netzwerken (9 % oder 5,3 Millionen Menschen) Quelle: ethority / Mai 2012

privat kommunizierten Frauen häufiger als Männer Business-Networks (Xing, LinkedIn&Co.

15 Agenda Aktuelle Gefährdungslage Lösungen Richtlinien und Managementsysteme aufbauen

Richtlinien & Managementsysteme Motivation Geregelte Haftung der obersten Leitung Kostensenkung Wettbewerbsvorteil und Qualitätsmerkmal Erhöhtes Kundenvertrauen Schutz vor Reputationsverlust oder

16 Richtlinien & Managementsysteme Motivation Geregelte Haftung der obersten Leitung Kostensenkung Wettbewerbsvorteil und Qualitätsmerkmal Erhöhtes Kundenvertrauen Schutz vor Reputationsverlust oder Imageschäden Gesetzliche Vorgaben (GmbHG, KonTraG, HGB, TMG, MaRisk, BDSG, StGB, BGB, UrhG ) Schutz von personenbezogenen Daten (beruflich und privat) Schutz gegen Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlung

(GmbHG, KonTraG, HGB, TMG, MaRisk, BDSG, StGB, BGB, UrhG ) Schutz von personenbezogenen Daten (beruflich und privat)

17 Richtlinien & Managementsysteme Richtlinien Top-Down Ansatz IT-Nutzung und IT-Administration Sicherheit am Arbeitsplatz Nutzung von mobilen Endgeräten Internet- und - Nutzung Dienstreisen Angemessen handeln und aufbauen! Nachhaltige Kommunikation der Richtlinien!

Nutzung von mobilen Endgeräten Internet- und email- Nutzung

18 Richtlinien & Managementsysteme Informationssicherheit nach ISO/IEC 27001:2005 (auch BSI 100-1, -2 und -3) Ganzheitlicher Ansatz International anerkannter Standard (nur für ISO-Standards) Angemessene Anwendbarkeit für jedes Unternehmen! Integration in bestehende ISO Standards wie 9001 oder Notfallmanagement nach ISO/IEC 22301:2012 (auch BSI 100-4) International anerkannter Standard (nur für ISO-Standards) Angemessene Anwendbarkeit Integration in bestehende ISO Standards wie 9001, oder 27001

Integration in bestehende ISO Standards wie 9001 oder 14001 Notfallmanagement nach ISO/IEC 22301:2012 (auch BSI 100-4)

Richtlinien & Managementsysteme Bundesdatenschutzgesetz (BDSG) mit Bestellung eines Datenschutzbeauftragten Jedes Unternehmen und Institution ist per Gesetz verpflichtet, die Anforderungen des BDSG

19 Richtlinien & Managementsysteme Bundesdatenschutzgesetz (BDSG) mit Bestellung eines Datenschutzbeauftragten Jedes Unternehmen und Institution ist per Gesetz verpflichtet, die Anforderungen des BDSG bzw. LDSG zu erfüllen und personenbezogene Daten zu schützen Bei mehr als 9 Mitarbeitern, die personenbezogene Daten verarbeiten, muss (!) ein interner oder externer Datenschutzbeauftragter bestellt sein Ist kein Datenschutzbeauftragter bestellt, haftet der Geschäftsführer / der Vorstand persönlich Datensparsamkeit wahren Löschung, wenn keine Verwendung vorliegt Zustimmung beim Betroffenen bei Abweichungen einholen

LDSG zu erfüllen und personenbezogene Daten zu schützen Bei mehr als 9 Mitarbeitern, die personenbezogene Daten verarbeiten, muss (!

Zugangskontrolle Eingabekontrolle Datenschutz durch

20 Richtlinien & Managementsysteme Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Eingabekontrolle Datenschutz durch Datensicherung Trennungsgebot Auftragskontrolle Zugriffskontrolle Weitergabekontrolle

21 Schutz durch richtiges Handeln So reagieren Sie richtig!

22 Der Mehrwert für das Unternehmen Ein gutes Beispiel für die positive Vermarktung

23 Agenda Aktuelle Gefährdungslage Lösungen Richtlinien und Managementsysteme aufbauen Sensibilisierung der Mitarbeiter erreichen

24 Sensibilisierung der Mitarbeiter Nehmen Sie die Menschen wie sie sind. Es gibt keine anderen! Konrad Adenauer Menschen machen Fehler - unabsichtlich oder absichtlich 70% sind Innentäter; besonders kleine und mittelständische Unternehmen sind betroffen Mitarbeiter in allen betrieblichen Bereichen und auf allen hierarchischen Ebenen können mehr verraten, als Spionagedienste oder Konkurrenten es je herausfinden könnten Nicht jeder Mitarbeiter ist ein studierter Informatiker Gefahren sind nach außen hin nicht sichtbar Heutige IT-Anforderungen überfordern viele Mitarbeiter Quelle: Landesamt für Verfassungsschutz BW, Faltblatt Sicherheitslücke Mensch- Der Innentäter als größte Bedrohung für die Unternehmen; Studie der Hamburger Kreditversicherung Euler Hermes, dass in drei von vier Fällen das eigene Personal an den untersuchten Betrugs-, Untreue- oder Unterschlagungshandlungen beteiligt war

25 Sensibilisierung der Mitarbeiter Motivieren Positive Einstellung zum Thema IT- und Informationssicherheit vermitteln Informieren Informationen über mögliche Gefahren und daraus entstehende Konsequenzen bzw. Schäden verteilen Sensibilisieren Verständnis für Sicherheitsmaßnahmen schaffen

26 Sensibilisierung der Mitarbeiter Wie erreichen wir die Mitarbeiter? Gesagt ist nicht gehört Gehört ist nicht verstanden Verstanden ist nicht einverstanden Einverstanden ist nicht behalten Behalten ist nicht angewandt Angewandt ist nicht beibehalten Konrad Lorenz

27 Erfolgsfaktoren einer Kampagne Kontinuierliches Training entlang des Mitarbeiterzyklus Einbindung privater Aspekte Vermeiden Sie oberlehrerhaftes Auftreten Belohnen statt Strafen Wählen Sie immer neue Zugänge zu den Mitarbeitern (z.b. ein Glückskeks) Multimediale Gestaltung der Maßnahmen (Text, Bild und Audio) Kurze und prägnante Botschaften Realitätsnah und glaubwürdig: laden Sie glaubwürdige Referenten ein (z.b. vom Landesverfassungsschutz, Live-Hacking) Sicherheitskultur etablieren: Führungskräfte als Vorbilder

28 Kosten Nutzen? Was kostet es Sie, wenn Sie nichts tun? Verlust von Wettbewerbsvorteilen durch Spionage oder Sabotage Vorsorge ist kostengünstiger als entstandene Schäden zu bereinigen Reputationsverlust, Imageschaden Sensibilisierung kann zur Optimierung Ihrer Prozesse beitragen Mitarbeiter sind sensibilisiert

29 Wie viel sicher ist sicher? Sicherheit ist immer ein Maßanzug! Sicherheit ist günstiger als Sie denken! Sicherheit braucht bei aller Technik auch den Menschen! Sicherheit braucht beide Gehirnhälften!

30 Vielen Dank für Ihre Aufmerksamkeit FOX Consulting / Alemannenstraße Großbottwar

Ähnliche Dokumente

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

EIN C.A.F.E. FÜR DEN DATENSCHUTZ Organisatorische Datenschutzbeauftragter Martin Esken Datenschutzbeauftragter (TÜV) Organisatorische Technische gemäß 9 Satz 1 Punkte 1-8 BUNDESDATENSCHUTZGESETZ Organisatorische